現在,大屏智能手機、平板電腦,以及逐漸熱賣(mài)的超級本等移動(dòng)類(lèi)IT產(chǎn)品,在中國消費者中的普及度越來(lái)越高。隨著(zhù)移動(dòng)設備性能的不斷提升和其自身優(yōu)良的便攜特性,消費者對它們的依賴(lài)也從純粹的娛樂(lè )、影音和游戲等自用范圍擴展到了日常的辦公生活中。
全球范圍內,BYOD( Bring Your Own Device )也已成為大勢所趨,越來(lái)越多的員工希望使用自己的設備在任何地方辦公。SOHO(Small Office Home Office,家居辦公)和移動(dòng)辦公的確可以提升工作效率,但同時(shí)也對企業(yè)的IT安全管理提出了新的挑戰:不同的設備,運行在不同的平臺上,并同時(shí)獲取不同的資訊,而所有的流量又都蜂擁到公司統一的出口上,網(wǎng)絡(luò )性能及安全該如何保證?
在移動(dòng)類(lèi)IT產(chǎn)品在中國的消費普及化的背景下,僅對移動(dòng)設備提供保護是遠遠不夠的。我們需要更重視敏感數據的問(wèn)題,因為一旦公司的可訪(fǎng)問(wèn)數據被下載到員工的設備上,這些數據也將成為保護的重點(diǎn)對象。
考慮到國內外的企業(yè)文化及網(wǎng)絡(luò )環(huán)境差異,Websense的安全專(zhuān)家就BYOD的發(fā)展趨勢,給中國IT人員如下建議:
實(shí)施移動(dòng)設備管理(MDM)
MDM是保護數據安全中最基本的步驟。無(wú)論員工的移動(dòng)設備屬于蘋(píng)果、安卓、塞班或其他平臺,一般都可以從設備供應商處尋得對應的管理方案,但所引入的MDM方案需要滿(mǎn)足如下要求:
- 應用程序管理--在必要時(shí)候限制設備所下載或者運行的內容;
- 配置管理和資源控制--可以控制設備所連接的硬件資源及獲取的內容,如防止手機攝像頭拍攝密碼;
- 檢測越獄的或其他非法刷機的設備--這些設備自身更加危險;
- 設備恢復及減低損失--可以跟蹤、鎖定和清除非法入侵;
- 支持與服務(wù)管理--所采用技術(shù)手段可以在長(cháng)期內保持優(yōu)勢。
但僅僅依靠MDM本身是不夠的,用戶(hù)也是關(guān)鍵的環(huán)節。尤其是在中國的企業(yè)環(huán)境中,制定及貫徹相關(guān)政策,并通過(guò)簽訂協(xié)議讓員工明確自己的權利、責任和義務(wù)是非常重要的。然而這些仍不能防止所有的威脅,我們還需要完善附加的安全保障。
完善附加安全保障
即使員工在移動(dòng)設備上除了查看郵件外啥也不干,這些設備還是很可能成為網(wǎng)絡(luò )攻擊的突破口,我們需要為手持設備提供附加的數據保護。最有效的方法就是在第一時(shí)間監控進(jìn)入移動(dòng)設備的數據,如使用統一實(shí)施的監控防護軟件。
另外,不斷爆出的移動(dòng)網(wǎng)絡(luò )及應用程序本身的漏洞也應當引起注意,隨著(zhù)時(shí)代發(fā)展,在移動(dòng)設備的數量已超過(guò)手提電腦的今天,這些潛在的威脅都將成為網(wǎng)絡(luò )犯罪中的下一批目標,作為IT安全人員,我們也需要實(shí)時(shí)了解最新的漏洞資訊,以免應對不及。
關(guān)注新的安全技術(shù)
當然,最新的尖端技術(shù)都支持BYOD,它們大都經(jīng)過(guò)苛刻環(huán)境的檢驗,可以應對敏感數據的安全問(wèn)題,以下例舉的技術(shù)都是我們考慮的范圍:
- 應用程序及桌面的虛擬化--虛擬化通常只允許僅限查看的訪(fǎng)問(wèn)方式,可以防止敏感數據在最初的位置泄露出去,這樣可以提升安全防護等級;
- 開(kāi)發(fā)自我防護的應用程序--在預算充足的情況下,在各類(lèi)應用程序最初的設計階段,就可以把加密及密鑰管理考慮在內,使得這些應用程序本身就具備更高的安全性。這類(lèi)應用不怎么依賴(lài)本地平臺,也不會(huì )因安全等級而犧牲過(guò)多的本地存儲資源。
- 數據代理或云服務(wù)--通過(guò)高信賴(lài)度的托管服務(wù),提升額外的威脅防護和提供數據保護能力;
- 沙箱技術(shù)--殺毒軟件常提到的一個(gè)概念,也可以用到BYOD領(lǐng)域,即部署一個(gè)獨立的空間,供移動(dòng)設備有效利用企業(yè)資源;
- VPN技術(shù)--可以創(chuàng )建一個(gè)始終開(kāi)放的通道將所有流量返回總部或者通過(guò)一個(gè)加密的通道將流量傳送到云端。
其實(shí),我們完全沒(méi)有必要禁止員工使用自己的移動(dòng)設備,這也難以做到。現階段最關(guān)鍵的任務(wù)是提高行業(yè)對BYOD安全問(wèn)題的警覺(jué)度,然后再去考慮移動(dòng)設備與原有架構的融合問(wèn)題,中國的IT安全人員應當保持對BYOD的持續關(guān)注,了解各設備供應商所能提供的方案及最新的技術(shù)方法,只有這樣,才能在必要的時(shí)候用較低的成本為企業(yè)打造較高的安全等級。
